I ricercatori di Proofpoint hanno identificato un nuovo malware battezzato WikiLoader, che è stato individuato per la prima volta a dicembre 2022 e distribuito da TA544 con l’obiettivo di colpire le organizzazioni italiane. Secondo quanto emerso, la campagna avrebbe sempre preso di mira l’Italia.

WikiLoader viene identificato come un sofisticato downloader che ha l’obiettivo di installare un secondo payload malware. Questo conterrebbe delle interessanti tecniche di evasione oltre un’implementazione personalizzata del codice che rende difficile il rilevamento e l’analisi.

Complessivamente, le campagne che utilizzano WikiLoader dal dicembre 2022 sono otto ed utilizzano email contenenti allegati Microsoft Excel, Microsoft OneNote e PDF. I ricercatori hanno osservato almeno due attori attivi nella distribuzione, TA544 e TA551, entrambi rivolti all’Italia. La campagna del dicembre scorso prevedeva l’invio di email malevole ad alto volume, contenenti un allegato di Microsoft Excel che sembravano provenire dall’Agenzia delle Entrate e che avevano l’obiettivo di colpire le aziende italiane. Tali allegati contenevano dei macro VBA che se attivati portavano all’esecuzione del downloader.

Successivamente però è stata identificata una versione aggiornata di WikiLoader utilizzata a febbraio 2023 in un’altra campagna, sempre mirata all’Italia e che simulava un servizio di spedizione italiano e conteneva documenti Excel abilitati alle macro VBA che anche in questo caso portavano all’installazione di WikiLoader ed il conseguente download di Urnsif.

Lo scorso 11 Luglio i ricercatori hanno identificato ulteriori modifiche al malware, collegate ad un’altra massiccia campagna.

“WikiLoader è un nuovo e sofisticato malware apparso di recente nel panorama delle minacce informatiche, finora associato alle campagne di distribuzione di Ursnif. Attualmente è in fase di sviluppo attivo e i suoi autori sembrano apportare regolarmente delle modifiche per cercare di non essere individuati e passare inosservati. È probabile che questo sistema venga utilizzato da un numero maggiore di cybercriminali, in particolare da quelli noti come IAB (Initial Access Broker) che svolgono regolarmente attività che conducono al ransomware. I difensori dovrebbero essere consapevoli di questo nuovo malware e delle attività incluse nella consegna del payload, adottando misure per proteggere le loro organizzazioni,” spiega Selena Larson, senior threat intelligence analyst di Proofpoint.

